API スキャンの作成

AppScan 360° Web API をスキャンするためのさまざまなワークフローをサポートしています。Web API の Postman コレクション、OpenAPI 仕様ファイルまたは記録されたトラフィックがある場合、それをインポートして、API スキャン設定を使用したスキャンの基礎として使用できます。または、Postman コレクション・ファイルまたは OpenAPI 仕様ファイルを REST API で使用することもできます。

始める前に

このタスクについて

このトピックでは、API スキャンで使用できる設定オプションについて説明します。

手順

  1. 特定の「アプリケーション」ページで「スキャンの作成」をクリックし、「DAST 動的分析」「スキャンの作成」をクリックします。
  2. 「スキャンの作成」で、次の操作を行います。「DAST」ダイアログで、「API スキャン」を選択して構成プロセスを開始します。
  3. API

    設定

    オプション

    Postman コレクションまたは OpenAPI のアップロード、または記録のアップロード

    API 探査方法を使用して、Postmanファイル、OpenAPI 仕様ファイルまたは URL (ベース URL を含む)、またはトラフィックの記録をアップロードできます。

    テスト対象のドメイン

    スキャンに組み込むドメインをすべて追加します。

    以下の両方の形式が有効です。

    • https://demo.testfire.net/
    • demo.testfire.net
      重要: リストされていないドメインはスキャンされません。
  4. 認証と接続: API 認証
    インポートしたデータにログイン記録が必要な場合は、アップロードして、認証を必要とするエンドポイントを AppScan がスキャンできるようにします。サードパーティーのツールを使用してログインを記録し、ファイルをこの場所にアップロードすることもできます。API キー認証は OpenAPI で使用できます。 API 設定でのログイン記録のアップロード・オプションの表示

    設定

    オプション

    記録済み

    記録のアップロード
    特別なログイン手順が必要な場合、このオプションを選択し、AppScan 360° が使用してスキャン中にアプリケーションにログインする手順の記録をアップロードします。AppScan Activity Recorder (CONFIG ファイルとして保存) または AppScan Standard (LOGIN ファイルとしてエクスポート) を使用して記録を作成できます。
    重要: 記録されたログイン手順には、以下の要求が含まれている必要があります。
    • ログイン/許可要求
    • 追加のログイン/許可要求。この追加の要求によって、AppScan が許可の成功を確認し、アプリケーションのテスト時にセッションを維持できます。

    CONFIG ファイルまたは LOGIN ファイルの記録について詳しくは、「トラフィックの記録」および「AppScan Standard によるログインの記録」を参照してください。

    API キー AppScan 360° OpenAPI など API キーを必要とする API をスキャンするための API 認証をサポートします。少なくとも 1 つの キー名キー値を入力します。必要に応じて、別のキー名とキー値を追加できます。値は保存され、API 認証時に使用されます。
    自動 この方法を選択すると、AppScan® は、ご使用のアプリケーションのログイン・フォームを自動的に検出し、指定したユーザー名とパスワードを使用できます。PIN# = 1234 など、3 つ目の資格情報 (オプション) を入力することもできます。ただし、3 つ目の資格情報を使用するには、AppScan 360° サポート・チームによる支援が必要で、スキャンに時間がかかる場合があります。
    注: CAPTCHA はサポートされていません。
    なし このオプションは、特別なログイン手順が必要ない場合に使用します。
  5. 認証と接続: HTTP 認証

    ログイン情報のほかに、アプリケーションが HTTP 認証 (Negotiate、NTLM、Kerberos、ADFS、Basic、または Digest) を必要とするかどうかを指定します。AppScan 360° をスキャン中に使用するために、「ユーザー名」「パスワード」、および「ドメイン」(オプション) に入力します。

    API 設定での HTTP 認証オプションの表示
  6. 認証と接続: 通信

    AppScan 360° がサイトに同時に送信できる要求の最大数を設定します。

    API 設定での通信オプションの表示

    設定

    オプション

    スレッド数

    サイトでこの数量が許可されていない場合は、上限を低くします。サイトで同時スレッドが許可されていない場合は、上限を 1 にします。

    サーバー通信タイムアウト

    スキャン中、自動的に調整する
    タイムアウトするまでに AppScan 360° が特定の応答を待機する時間を決定できます。これにより、スキャン時間が大幅に短縮される可能性があります。
    解決済み
    タイムアウトするまでに AppScan 360° が応答を待機する最大時間を設定します。サイトの応答が遅く、短いタイムアウトが原因で AppScan 360° が応答を見逃している場合は、この設定を長くします。

    最大要求速度

    デフォルトでは、AppScan 360° はその要求を可能な限り高速でサイトに送信します。この制限によってネットワークまたはサーバーが過負荷になる場合は、この値を小さくします。

  7. 認証と接続: フォームの入力

    有効にすると、AppScan 360°AppScan Standard のデフォルトの自動フォーム入力パラメーターを使用して、スキャン中に自動的にフォームに入力します。ポリシーは、ウィザードでは変更できません。API 設定でのフォーム入力有効化オプションの表示

    設定

    オプション

    フォームの自動入力

    AppScan 360° AppScan Standard のデフォルトのフォーム入力パラメーター値を使用して、スキャン中にフォームの入力および送信を行います。
    注: 自動フォーム入力をオフにして、AppScan 360° でスキャンすると、ログイン管理データを除く、フォームに入力されたすべての情報が削除されます。AppScan はスキャン中、自動的にフォームに入力しません。このスキャンを AppScan Standard にインポートすると、自動フォーム入力が有効になりますが、ログイン管理を除くフォーム入力データは空になります。
  8. テスト: テスト・ポリシーと最適化

    テスト中にアプリケーションに送信されるテストのコレクション (テスト・ポリシー) を定義します。また、詳細なスキャンよりも迅速なスキャンを優先する製品のライフサイクルで、スキャンを高速化するための最適化を適用します。API 設定での「テスト・ポリシーと最適化」オプションの表示

    設定

    オプション

    テスト・ポリシー

    必要な対象範囲のレベルに基づいて、5 つの事前定義テスト・ポリシーまたはカスタム・ポリシーのいずれかを選択します。デフォルトは、侵入テストとポート・リスナー・テストを除くすべてのテストを含むデフォルトです。詳細は、「テスト・ポリシー」を参照してください。
    ヒント: テスト・ポリシーは、アプリケーションのコンプライアンス・ポリシーとは異なります。

    テストの最適化

    必要性に応じてスキャン速度と問題のカバー範囲とのトレードオフのレベルを選択します。スライダーには 4 つのレベルがあります。デフォルトは、「高速」です。詳細は、「テストの最適化」を参照してください。

  9. テスト: テスト・オプション

    ログイン・ページとログアウト・ページでテストを送信するかどうかを選択します。ログイン・ページでテスト送信を選択した場合、セッション ID を送信するかどうかを指定します。API 設定でのテスト・オプションの表示

    設定

    オプション

    ログイン/ログアウト・テスト ログイン・ページとログアウト・ページでテストを送信するかどうかを選択します。ログイン・ページでテスト送信を選択した場合、セッション ID を送信するかどうかを指定します。
    脆弱なコンポーネントのレポート AppScan はサードパーティー・コンポーネントの脆弱性を検出し、更新を推奨します。
  10. 設定: スケジュール

    スキャンを実行するタイミング (今すぐ、後で、またはスケジュール) を指定します。API 設定でのスケジュール・オプションの表示

    設定

    オプション

    すぐにスキャン

    セットアップとレビューが完了するとすぐにスキャンが実行されます。

    後のために保存

    設定は、完了すると保存されます。後でスキャンを実行できます。

    スケジュール
    設定が保存され、1 つ以上のスキャンが設定済みとして実行されます。
    1. 日時を選択する。これらの値はマシンで設定されているタイム・ゾーンに従って入力しますが、ユーザー・インターフェースに表示される時刻は UTC に変換されることに注意してください。
    2. スキャンを複数実行するには、「繰り返し」を選択して、以下を選択します。
      • 毎日: 日単位の間隔 (1 日から 30 日) を選択します
      • 毎週: 曜日を選択します
      • 毎月: 月単位の間隔を選択し、日付 (数値) または曜日 (最初、2 番目、3 番目、4 番目、最後) を選択します。
      注: スケジュール済み時刻になったときに最大数の同時スキャンが実行されている場合は、サブスクリプションで許可されるとすぐにスキャンが開始されます。
    3. 「終了日」(スキャンが実行される最後の日付) を設定するか、「終了日の削除」をクリックしてスケジュールを無期限に実行します。
  11. プリファレンス: スキャン・オプション
    「スキャン・オプション」パネルでは、以下を実行できます。
    • 個人スキャンとしてスキャンを実行するように指定します。
    • スキャン完了時に E メールを受け取るように指定します。
    API 設定でのスキャン・オプションの表示
  12. 概要

    必要に応じてスキャン名を編集し、スキャンに選択した設定を確認します。必要に応じて「戻る」をクリックして前のパネルに戻って調整します。 API 設定での設定オプションの概要の表示

  13. 「スキャン」をクリックします。

タスクの結果

新規スキャンとその開始時間が「スキャン」ビューに追加され、進行状況表示バーにスキャンが実行中であることが示されます。スキャンが完了すると、進行状況表示バーが閉じ、結果がグラフに要約され、(選択した場合には) E メール通知を受け取ります。

次のタスク

結果」を参照してください。